Windows Server 2008 Active Directory域服务的新增功能

RODC 提 供管理角色分离的第二种方式是在 RODC 本身创建本地管理角色。这些角色看起来像机器本地组，它们存 储在 RODC 的注册表中，并且只能在 RODC 上进行评估。但是，管理员是使用 NTDSUTIL 管理本地 RODC 角色，而不是使用计算机管理 MMC 管理单元。图 6 列出了 RODC 上的本地管理角色。这些角色与 Windows 中的内置组一一对应。

Figure 6 本地 RODC 管理角色

RODC 特性

由于 RODC 是只读的，并且其他域控制器不从其进行复制，它们会出现一些异常的行为。例如，延迟对象 （即，因为 DC 的复制时间不能长于林的生存周期，所以除了特殊的 DC，该类对象已从其他位置删除） 通常由 DC 的出站复制伙伴检测。但是，由于 RODC 没有入站复制伙伴，因而它们不会检测延迟对象。

RODC 不会为 LDAP 更新（添加、修改、删除、重命名或移动）操作提供服务。而是返回错误，其中包 含对能提供操作的可写 DC 的 LDAP 参照。如果发起 LDAP 更新的应用程序对参照操作处置不当，应用程 序将无法使用。

最后，如果林中其他域的用户试图向 RODC 验证，RODC 必须能够访问其所在域的完全 DC 来获取信任 密码，以便将验证请求正确传递给用户域中的 DC。如果在其域中 RODC 和完全 DC 之间的网络连接不可 用，验证将失败。

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!